返回
頂部
頂部
在瀏覽一些網站時經常會遇到一些討厭的情況,那就是輸入驗證碼,并且有些驗證碼能令人抓狂,不過好在能切換另一張,其中印象深刻的要數火車票的網站了,簡直五花八門,什么都有,一些網絡安全意識淡薄的企業做網站時經常有疑問:就不能把驗證去掉嗎?答案是不能,那么是為什么呢?我們從安全的角度出發來談談做網站為什么不能沒有驗證碼。
從安全角度出發做網站不能沒有驗證碼
一、現在企業做網站都開始講究起了用戶體驗,在這個用戶體驗大于天的環境下,網站的驗證碼明知道會影響訪客的瀏覽體驗,但卻仍然不肯去掉,主要還是為了安全著想。設想一下,如果注冊頁面沒有驗證碼,那么就可以通過腳本無限的注冊網站的用戶,當這個數量與頻率達到一定的值后,網站的數據庫也許就崩潰了,這對于正在運行的網站來說,無疑是一個安全隱患,使網站的運行存在著不穩定因素,如果競爭對手三天兩頭的采用這種方式,那么網站就會一直處于癱瘓狀態。
二、網站登錄的驗證碼不能沒有,現在做網站一般會對登錄的驗證碼做出讓步,就是在前幾次登錄的時候不顯示驗證碼,在密碼輸入錯誤三次以上時會顯示驗證碼,這是為了防止一些不法人員通過機器密碼字典破解用戶的密碼,如果沒有驗證碼,那么只要開著字典類軟件無限的試驗密碼排列,那么就可以通過這種暴力的方式取得用戶的密碼,這對于用戶就沒有什么隱私可言了,所以在登錄密碼錯誤時有必要設置驗證碼來防止被機器暴力試出密碼。
三、網站驗證碼的發展,隨著技術水平的提高,網站的驗證碼已經不再局限于輸入圖片上的幾個字母就能通過了,因為這種圖片上字母的方式也不再安全,而是朝著更難讓機器識別操作的方式,比如手機驗證碼,通過手機號碼,發送到手機上,并且短時間內一個手機只能發送一次,這從很大程度上杜絕了機器刷驗證碼的存在。我們在購票時會發現有圖片式的驗證碼,在圖片顯示一種物品,這種物品有景色、有生活用具等,再通過對這些物品提出一些問題,讓訪客通過點擊圖片回答,這是一種較為嚴格的驗證方式,可以說是絞盡腦汁,挖空心思的難為訪客與機器人了。
目前做網站還有一種比較常見的驗證系統,就是拼圖驗證碼,通過拖動拼圖碎片到正確的位置來通過驗證,這一點也是腳本工具難以實現的,因為拼圖缺失的位置是隨機生成的,并不固定,每一次刷新碎片的位置都不一樣,這也是一種防止惡意攻擊的驗證方式。但是不管怎么說,驗證碼都有其存在的意義,企業在做網站時不能為了這一點體驗要求做網站公司取消驗證碼,因為為了網站的安全著想,哪怕是損失了一點體驗也在所不惜。
